V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
logfile
V2EX  ›  分享发现

企鹅公司漏洞

  •  1
     
  •   logfile · 2023-01-16 14:10:28 +08:00 · 13778 次点击
    这是一个创建于 668 天前的主题,其中的信息可能已经有所发展或是发生改变。

    误打误撞,发现企鹅公司的漏洞,按照级别至少是高危,是上报给企鹅还是自己私用?

    104 条回复    2023-05-24 11:27:16 +08:00
    1  2  
    Niubai
        1
    Niubai  
       2023-01-16 14:14:01 +08:00 via Android
    当然是私用
    hatw
        2
    hatw  
       2023-01-16 14:16:14 +08:00
    不出事的话,你喜欢。。。
    wupher
        3
    wupher  
       2023-01-16 14:18:31 +08:00
    南山必胜客
    lakehylia
        4
    lakehylia  
       2023-01-16 14:19:57 +08:00
    最稳妥收益最大的办法,看看企鹅有没有举报漏洞悬赏的,上那边去提交漏洞
    kwong51
        5
    kwong51  
       2023-01-16 14:22:10 +08:00
    匿名泄露到 v2
    lc4t
        6
    lc4t  
       2023-01-16 14:22:34 +08:00
    logfile
        7
    logfile  
    OP
       2023-01-16 14:27:00 +08:00
    有企鹅的吗?如果看到,可以 PM 我,这个漏洞级别非常高,涉及支付。
    sss495088732
        8
    sss495088732  
       2023-01-16 14:35:37 +08:00
    ...这个在线漏洞提交贡献兑换 rmb 这么少...
    AngryPanda
        9
    AngryPanda  
       2023-01-16 14:39:30 +08:00
    PDD 上常年有人利用漏洞充值各种 VIP
    买了之后才知道是利用漏洞。
    DiffView
        10
    DiffView  
       2023-01-16 14:42:02 +08:00
    才 1w 一个漏洞,黑市估计不止
    jackOff
        11
    jackOff  
       2023-01-16 14:42:44 +08:00 via Android
    可以去外国那个黑客数据库泄露论坛卖,可以换很多东西
    crab
        12
    crab  
       2023-01-16 14:48:07 +08:00
    直接去腾讯安全响应中心提交吧。私下 PM 小心被钓鱼。
    blancokitsune
        13
    blancokitsune  
       2023-01-16 14:48:11 +08:00 via Android
    投 src 需要注意规则,要不然也是会搞你的
    logfile
        14
    logfile  
    OP
       2023-01-16 14:49:14 +08:00
    @jackOff 暂时还没考虑,先和企鹅沟通之后再说。这个漏洞是支付漏洞,利用这个漏洞,理解成企鹅是我的提款机吧。
    zjhzxhz
        15
    zjhzxhz  
       2023-01-16 14:54:26 +08:00
    @logfile 可以联系我
    HongJay
        16
    HongJay  
       2023-01-16 14:54:49 +08:00
    企鹅赌你不敢用
    zjhzxhz
        17
    zjhzxhz  
       2023-01-16 14:54:54 +08:00
    @logfile aGFvemhleGllQHRlbmNlbnQuY29t
    zhuanggu
        18
    zhuanggu  
       2023-01-16 14:57:27 +08:00
    @logfile 可以联系我,我反馈给 wx 。另外,别用,不然肯定让你牢底坐穿。
    kimcool
        19
    kimcool  
       2023-01-16 14:57:38 +08:00
    快过节了,建议莫管闲事
    zhlxsh
        20
    zhlxsh  
       2023-01-16 14:59:07 +08:00 via iPhone
    注意安全,小心钓鱼
    ttyhtg
        21
    ttyhtg  
       2023-01-16 14:59:25 +08:00   ❤️ 8
    我恍惚记得很多年前有个本无恶意提醒漏洞的人被腾讯下套送进了大牢
    lc4t
        22
    lc4t  
       2023-01-16 15:00:55 +08:00
    @logfile 私戳不一定就是企鹅的,建议你走官方渠道 security.tencent.com ,然后会有人联系你
    neargle
        23
    neargle  
       2023-01-16 15:05:52 +08:00   ❤️ 2
    hello ,建议反馈到 security.tencent.com[email protected] ,官方有专业的人员和你一起跟进,并且有符合业界规范的现金奖励,不建议对任何未确认身份的人员透露。
    wetalk
        24
    wetalk  
       2023-01-16 15:09:57 +08:00
    肉身墙外无所谓,墙内慎重
    logfile
        25
    logfile  
    OP
       2023-01-16 15:10:00 +08:00
    @lc4t 企鹅太抠门了吧,这么严重的 BUG ,竟然那么一丢丢奖励,很不爽。

    @HongJay 已经用过。
    jenlors
        26
    jenlors  
       2023-01-16 15:13:34 +08:00
    破坏计算机信息系统罪了解一下,最好反馈官方拿点奖励得了
    miyuki
        27
    miyuki  
       2023-01-16 15:22:13 +08:00
    jackadm1n
        28
    jackadm1n  
       2023-01-16 15:23:47 +08:00
    R18
        29
    R18  
       2023-01-16 15:25:19 +08:00 via Android
    用过了?赶紧跑路吧
    jackadm1n
        30
    jackadm1n  
       2023-01-16 15:25:44 +08:00   ❤️ 1
    阿里云云栖号 做了案例分析,并给予了建议

    给小 A 的 9 条“守法”建议:
    1 ,进行渗透测试前要取得客户授权;
    2 ,在客户授权的时间和测试范围内进行测试;
    3 ,发现漏洞尽快通知用户,不公布和传播漏洞;
    4 ,不窃取、出售、篡改用户数据;
    5 ,不恶意攻击他人服务器;
    6 ,不在他人服务器留后门;
    7 ,不去入侵或干扰国家关键信息基础设施的系统;
    8 ,不协助他人攻击别人服务器;
    9 ,不传播恶意攻击程序。

    作者:阿里云云栖号
    链接: https://www.zhihu.com/question/47775182/answer/194352723
    来源:知乎
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
    AngryPanda
        31
    AngryPanda  
       2023-01-16 15:27:02 +08:00
    @logfile 奖励是多少?没看到
    Felldeadbird
        32
    Felldeadbird  
       2023-01-16 15:30:08 +08:00
    不放心就给国家安全漏洞提交 https://www.cnvd.org.cn/
    Asuka0947
        33
    Asuka0947  
       2023-01-16 15:33:28 +08:00
    这不买一张去美丽国的机票?
    xylxAdai
        34
    xylxAdai  
       2023-01-16 15:40:59 +08:00
    虽然你可以联系我。但是还是建议你直接走官方渠道上报。
    JiZhiDeboy
        35
    JiZhiDeboy  
       2023-01-16 15:48:56 +08:00
    @logfile 提款机 感觉想的有点简单,大量异常数据应该会告警,然后快速排查解决。作为单独的程序来说问题肯定很大,但是这种系统会有其它系统辅助让他更健壮。
    leoleoleo
        36
    leoleoleo  
       2023-01-16 16:33:59 +08:00
    自己用,当提款机的,应该没那么简单,涉及支付和金钱的,总归需要对账的,只是时间间隔的关系。一旦发现异常,就会有相关团队来快速排查;想要自己用,除非你是境外诈骗团伙,可以找到大量完全和你没关系的银行卡或者支付软件账户,不然实名制的银行卡或者支付软件账户,随便就能定位到你,如果金额大, 一定会被送进去。建议还是走官方渠道反馈,拿点官方奖励就好。
    qqpkat2
        37
    qqpkat2  
       2023-01-16 16:34:50 +08:00   ❤️ 1
    要说企鹅漏洞,当年一个找回密码的 bug ,让我在网吧里面加了多少不良少女。。。
    Kolbert
        38
    Kolbert  
       2023-01-16 16:48:35 +08:00
    我看刑。最稳妥收益最大的办法是给官方提交确认,不要想不开了。
    leeton
        39
    leeton  
       2023-01-16 16:53:09 +08:00
    赶紧润到国外,等着当中国首富😁
    justsuperdog520
        40
    justsuperdog520  
       2023-01-16 16:57:37 +08:00
    晚点报给企鹅,你这一报上去,企鹅又有一批程序员跟测试少了年终奖
    weak
        41
    weak  
       2023-01-16 17:02:25 +08:00 via iPhone   ❤️ 6
    最好的闭嘴,卖给其他人,卖给灰产也行,你报告给鹅,鹅搞你,鹅可不是什么大度的企业,分分钟搞崩溃你,参考珍爱,要么现在闭嘴,要么 悄悄卖给灰产变现
    liuidetmks
        42
    liuidetmks  
       2023-01-16 17:02:58 +08:00
    暗网?
    corcre
        43
    corcre  
       2023-01-16 17:05:02 +08:00
    用过了的话, 卖给灰产拿钱润, 反正就是要润...
    litchinn
        44
    litchinn  
       2023-01-16 17:08:02 +08:00
    litchinn
        45
    litchinn  
       2023-01-16 17:08:36 +08:00
    不过这样应该是没有奖励的
    wangerka
        46
    wangerka  
       2023-01-16 17:23:07 +08:00
    我有一个朋友,之前找到了某捕鱼软件的漏洞,靠这个收入 20 个 W 。。。
    novolunt
        47
    novolunt  
       2023-01-16 17:29:53 +08:00
    等 op 进去,国内对白帽就是这种氛围
    fyooo
        48
    fyooo  
       2023-01-16 17:33:29 +08:00
    @wangerka 钓鱼还是捕鱼?
    ZLY201
        49
    ZLY201  
       2023-01-16 17:33:34 +08:00
    我记得支付宝找到这种漏洞不是承诺支付十万?企鹅才这么点吗
    logfile
        50
    logfile  
    OP
       2023-01-16 17:38:28 +08:00
    @Livid 心情一时激动,发了神经病,在网上公开,麻烦删除本贴。
    yolee599
        51
    yolee599  
       2023-01-16 17:49:22 +08:00
    用过了就不要自投罗网了,快跑吧
    HongJay
        52
    HongJay  
       2023-01-16 17:53:07 +08:00
    删是删不了了。还是准备准备衣物吧
    KouShuiYu
        53
    KouShuiYu  
       2023-01-16 17:55:59 +08:00   ❤️ 1
    我觉得腾讯已经顺着微信或者 QQ 知道了🐶
    watzds
        54
    watzds  
       2023-01-16 17:57:43 +08:00
    @logfile #50 删不掉了,下次企鹅出问题,第一个想到你

    可能现在内部员工看到了,已经在调查你了
    Bigglesworth
        55
    Bigglesworth  
       2023-01-16 18:10:40 +08:00
    @fyooo #48 捕鱼达人这类游戏吧
    zhw2590582
        56
    zhw2590582  
       2023-01-16 18:27:56 +08:00
    哈哈哈,你以为你能删掉?
    BlackKim
        57
    BlackKim  
       2023-01-16 18:51:01 +08:00 via iPhone
    删掉?
    rrZ2C
        58
    rrZ2C  
       2023-01-16 18:51:24 +08:00
    @logfile #13 😈😈😈😈😈😈😈😈😈😈
    deorth
        59
    deorth  
       2023-01-16 18:54:32 +08:00 via Android
    黑阔大佬带带我
    fengleiyidao
        60
    fengleiyidao  
       2023-01-16 18:55:38 +08:00
    我觉得这贴留着好,不然怕你把持不住,进去过年。
    BBCCBB
        61
    BBCCBB  
       2023-01-16 19:11:59 +08:00
    你非要说出来, 这就很尴尬了..

    牢里见
    N1ckl32
        62
    N1ckl32  
       2023-01-16 19:18:50 +08:00
    Raynard
        63
    Raynard  
       2023-01-16 19:27:23 +08:00
    应该是一天四块钱那个吧。。。
    lxghost
        64
    lxghost  
       2023-01-16 20:06:57 +08:00
    你猜企鹅会怎么处置你?
    butanediol2d
        65
    butanediol2d  
       2023-01-16 20:37:46 +08:00
    求一个破解版微信,无限余额的那种( doge
    hhjswf
        66
    hhjswf  
       2023-01-16 20:48:38 +08:00 via Android
    你可以偷偷用,承担后果就行。至少有两个罪名可以安头上,诈骗、入侵计算机系统。
    reiji
        67
    reiji  
       2023-01-16 21:47:03 +08:00
    估计是了...
    laydown
        68
    laydown  
       2023-01-16 23:38:20 +08:00
    狗日的腾讯会好好招呼楼主滴,楼主保重吧!
    dlsflh
        69
    dlsflh  
       2023-01-16 23:42:52 +08:00 via Android
    哈哈,狗日的马化腾顺着网线找你来啦!
    IvanLi127
        70
    IvanLi127  
       2023-01-16 23:52:10 +08:00
    要不等企鹅的人在 v 站找你谈赏金吧 哈哈
    Lucoie
        71
    Lucoie  
       2023-01-17 00:27:04 +08:00
    肯定有企鹅的人把帖子发同事看
    systemcall
        72
    systemcall  
       2023-01-17 01:01:22 +08:00   ❤️ 2
    企鹅应该早就在通过各种渠道找你的信息了
    有可能还没过年就进去了
    企鹅可不是什么大度的公司
    miaomiao888
        73
    miaomiao888  
       2023-01-17 03:42:08 +08:00
    V 友 -1
    这得进去蹲多少年?
    starlz
        74
    starlz  
       2023-01-17 09:44:35 +08:00
    @qqpkat2 咳,展开说说~
    iOCZ
        75
    iOCZ  
       2023-01-17 09:53:39 +08:00
    利用漏洞是违法行为
    googleaccount
        76
    googleaccount  
       2023-01-17 10:06:40 +08:00
    大年三十那天晚上上报给腾讯吧
    zhchyu999
        77
    zhchyu999  
       2023-01-17 10:26:32 +08:00   ❤️ 1
    说白了就是发现了谁家的们好像在没人的时候可以打开自己拿钱,楼主在纠结
    楼上好多人竟然在教楼主去偷或者把这个消息卖给其他人让其他人偷?
    现在这些人三观都这么不正了么
    lmhsmart
        78
    lmhsmart  
       2023-01-17 10:34:00 +08:00
    在互联网大厂做安全运营的从业人士告诉你,还是通过腾讯的 src 直接交 https://security.tencent.com/ ,是不是高危会有人审核,真是实锤问题不会给你赖掉的,几千几万块钱对腾讯来说是小钱,名声重要。如果你卖给灰黑产了那真有可能被线下打击,不要低估腾讯蓝军的实力。
    另外,按照楼里的描述,不好判断楼主说的是不是真的,大厂 src 每天都会收到很多类似自称高危严重的漏洞,绝大部分都是虚的。
    qqpkat2
        79
    qqpkat2  
       2023-01-17 10:50:21 +08:00
    @starlz 发个帖子细讲都可以。。。
    Bssn
        80
    Bssn  
       2023-01-17 11:02:42 +08:00
    @ttyhtg 菜刀?
    Bssn
        81
    Bssn  
       2023-01-17 11:05:52 +08:00
    @justsuperdog520 撒旦背上纹个你
    keventseng
        82
    keventseng  
       2023-01-17 11:17:11 +08:00
    LZ 会每日 V 站保平安吗?
    chenzhao0121
        83
    chenzhao0121  
       2023-01-17 11:42:49 +08:00 via iPhone   ❤️ 2
    劝你谨慎行事,小心把你送进去蹲几年。卖给灰产闷声发大财
    collen
        84
    collen  
       2023-01-17 12:00:33 +08:00   ❤️ 1
    狗日的腾讯直接卖灰
    darknoll
        85
    darknoll  
       2023-01-17 12:59:52 +08:00   ❤️ 1
    一致同意卖给灰产,为啥白白便宜了腾讯
    dog
        86
    dog  
       2023-01-17 13:00:23 +08:00   ❤️ 2
    楼主在 v2 的第一个回帖,就是暴露自己的 QQ 邮箱,还怕企鹅找不到你?
    https://v2ex.com/t/42399#reply12
    maxxfire
        87
    maxxfire  
       2023-01-17 13:15:12 +08:00   ❤️ 1
    你这个东西是很值钱的,如果你怕的话,可以转手。83/84 楼已经给出答案。
    maxxfire
        88
    maxxfire  
       2023-01-17 13:16:52 +08:00   ❤️ 1
    @zhchyu999 不说别的,不少人痛恨企鹅
    goodname
        89
    goodname  
       2023-01-17 13:21:27 +08:00
    通过 src 交,大厂都和警方有合作的,私下联系什么,想敲诈?
    MarkP
        90
    MarkP  
       2023-01-17 13:28:31 +08:00
    楼主已经开始慌了
    fromdark
        91
    fromdark  
       2023-01-17 13:50:32 +08:00
    有兄弟知道微信支付怎么找真人客服吗?

    之前从有一个事务,零钱通 -> 零钱,一笔交易,结果给我转了两次,虽然没涉及财产损失,但我觉得这种问题,应该也属于高危漏洞了吧
    kesichen89
        92
    kesichen89  
       2023-01-17 13:51:56 +08:00
    楼主是否忘了 V2EX 这个网站是删除不了帖子的?
    easymbol
        93
    easymbol  
       2023-01-17 14:20:38 +08:00
    看了这么多回复猛然发现一件事,技术公司居然不是技术优先而是法律优先,这个逻辑我也是服气了
    Reficul
        94
    Reficul  
       2023-01-17 17:40:17 +08:00
    楼主:『 oh shit, 完了』
    vue666
        95
    vue666  
       2023-01-17 17:59:10 +08:00 via Android
    南山必胜客你懂的
    OpenSea
        96
    OpenSea  
       2023-01-17 18:30:44 +08:00
    出来后反馈一下
    idrawer
        97
    idrawer  
       2023-01-18 00:46:15 +08:00
    R.I.P
    chenfang
        98
    chenfang  
       2023-01-18 09:50:50 +08:00 via iPhone
    我很好奇 后续 希望楼主有结果了 可以说一下 如果没后续我大概也能猜到什么后续了....
    LiubaiQ
        99
    LiubaiQ  
       2023-01-18 14:21:01 +08:00
    Game Over
    bjzhush
        100
    bjzhush  
       2023-01-19 15:28:07 +08:00
    能提出这个问题,说明你不是安全行业的人
    上策,忽略这件事并擦除一些痕迹,中策,联系腾讯上报漏洞然后领那么点钱,下策,私用并获得银手镯一副,南山不定期旅游
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1317 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 23:26 · PVG 07:26 · LAX 15:26 · JFK 18:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.